15 dec. 2021
Forsyningsselskaber

Også forsyningsselskaber oplever udfordringer med GDPR-lovgivningen

Af Bodil Hald Brabæk

Head of Data Privacy Law, Director, Law, EY Denmark

Omfattende erfaring inden for databeskyttelseslovgivning. Betroet rådgiver med fokus på både private og offentlige kunder. Søger værdifulde og pragmatiske løsninger. Passioneret foredragsholder.

15 dec. 2021
Relaterede emner Law Energi og forsyning

I takt med at Datatilsynet gennemfører flere tilsyn med alvorlige sanktioner til følge, er der fortsat i markedet væsentlige GDPR-udeståender.

Opsummering: 
  • Virksomhederne har ikke i tilstrækkelig grad kortlagt egne behandlinger af personoplysninger og ej heller vurderet risici
  • Der er ikke sikret fyldestgørende overblik og håndtering af virksomhedens databehandlere
  • Håndtering af tredjelandsoverførsler er udfordrende og kræver ekstra fokus

Datatilsynet gennemfører stadig flere og flere tilsyn og træffer i stigende grad afgørelser med alvorlige sanktioner, herunder også flere bødeindstillinger.

De seneste mange udtalelser fra Datatilsynet, herunder ikke mindst flere af Datatilsynets seneste bødeindstillinger, understreger vigtigheden af, at virksomhederne har styr på de helt grundlæggende og fundamentale elementer i virksomhedens GDPR-implementeringsprojekt.

Mangelfuld datakortlægning og manglende risikovurderinger

Forsyningsvirksomheder, hvor særligt tilknytningen til de offentlige institutioner kan have stor betydning for de behandlingsaktiviteter, der foretages, skal bl.a. have fokus på:

  • At der gennemføres en tilstrækkelig – og ofte ganske detaljeret – kortlægning af de behandlingsaktiviteter, hvor der behandles personoplysninger
  • At der foretages en vurdering af den risiko, der er forbundet med de kortlagte behandlingsaktiviteter - særligt med henblik på at kunne identificere, hvorvidt allerede implementerede sikkerhedsforanstaltninger er tilstrækkelige, eller om det er nødvendigt at styrke både den it-tekniske sikkerhed samt den organisatoriske sikkerhed, der typisk vil udføre nødvendige procedurer, forretningsgange m.v.

Bøderne falder i de sager, hvor sikkerhedsbrud kan bebrejdes den enkelte virksomhed, netop fordi de burde have haft en højere grad af sikkerhed. Datatilsynet fremhæver netop, at manglerne i disse sager typisk består i, at virksomheden rent faktisk ikke har overblik over egne behandlinger og samtidig ikke har vurderet den enkelte risiko. Virksomheden burde simpelthen have vidst bedre og handlet mere ansvarligt.

Håndtering af tredjepartsaftaler, herunder databehandlerrelationer

Mange virksomheder mangler fortsat at få skabt et fyldestgørende overblik over de tredjeparter, som virksomheden samarbejder med. Dette skyldes først og fremmest at ovennævnte kortlægning ikke er gennemført tilstrækkeligt. Herudover kan det i visse samarbejdsrelationer, være ganske vanskeligt at vurdere, hvorvidt der er tale om (i) en databehandlerrelation, (ii) en samarbejdsrelation med fælles dataansvar, eller (iii) om virksomheden blot videregiver oplysninger til en selvstændig dataansvarlig. Dette er bestemt også tilfældet i mange forsyningsselskaber, hvor samarbejdskonstellationerne kan være mangeartede, herunder både internt i koncernen og eventuelt i samarbejdet med kommunerne.

Dertil kommer, at Datatilsynet netop har publiceret en ny vejledning, hvor de præciserer vigtigheden af, at virksomhederne får sikret det rette tilsyn med virksomhedens databehandlere. Det er i den forbindelse afgørende, at virksomheden ud fra faste parametre foretager en indledende risikovurdering, hvorefter det med henvisning til en form for pointsystem kan vurderes hvilken tilsynsform, der er den rette at gennemføre.

Endelig er det vigtigt, at der sikres den rette aftale/kontrakt med de enkelte samarbejdspartnere, herunder eventuel en databehandleraftale, aftale om fælles dataansvar eller muligvis et vilkår om fortrolighed. Aftalerne skal efterleve en række minimumskrav for at være gyldige, og er der tale om en databehandleraftale, bør virksomheden sikre, at de anvender den af Datatilsynet publicerede standard databehandleraftale.

Også i forsyningsselskaberne støder vores specialister ofte på mangelfulde databehandleraftaler, hvor fx vilkår om (i) instruks, (ii) beskrivelse af behandlingen, (iii) fastsættelse af tilsyn, (iv) vilkår om tredjelandsoverførsel samt (v) fastsættelse af sikkerhedsforanstaltninger er utilstrækkelige.

Tredjelandsoverførsel af data

I kølvandet på den såkaldte Schrems II-afgørelse har EU-Kommissionen udarbejdet to vejledninger, der præciserer de omfattende og ganske vanskelige forpligtelser, som den dataansvarlige skal sikre, når der overføres personoplysninger til lande uden for EU/EØS. Også af den grund har Datatilsynet valgt netop tredjelandsoverførsel som et af deres fokusområder i 2021.

Mange virksomheder, herunder forsyningsselskaberne, har ved brugen af udvalgte it-leverandører og it-support tredjelandsoverførsel. De har dog endnu ikke fået sikret overblik over disse overførselssituationer og således i endnu mindre grad fået sikret de lovpligtige overførselsgrundlag.

Skønt Datatilsynet har forståelse for, at det kan være vanskeligt for den enkelte virksomhed at sikre de enkelte tredjelandsoverførsler, så har Datatilsynet understreget, at de som minimum forventer, at virksomheden har truffet passende foranstaltninger som led i en såkaldt Exit- og migreringsstrategi. Særligt i forhold til behandlingsaktiviteter, der foretages af eller i samarbejde med det offentlige, kan tredjelandsoverførsel være problematisk.

Hvis du har spørgsmål til udarbejdelse af artikel 30-fortegnelse, overblik over databehandlere eller tilsyn med databehandlere samt tredjelandsoverførsler, er du velkommen til at kontakte os.

Sammendrag

Også forsyningsselskaberne oplever væsentlige udfordringer i forhold GDPR-compliance. Særligt kravet om den fundamentale kortlægning (artikel 30-fortegnelse) volder problemer i praksis, herunder både i forhold til detaljeniveau samt den lovpligtige risikovurdering. Herudover mangler mange – trods Datatilsynets opdaterede vejledning – at sikre overblik over databehandlere, at indgå lovpligtige databehandleraftaler samt føre kontrol med disse. Desuden står virksomhederne overfor en stor udfordring i forhold til håndtering af de såkaldte tredjelandsoverførsler, som netop er på Datatilsynets liste over fokusområder.

Om denne artikel

Af Bodil Hald Brabæk

Head of Data Privacy Law, Director, Law, EY Denmark

Omfattende erfaring inden for databeskyttelseslovgivning. Betroet rådgiver med fokus på både private og offentlige kunder. Søger værdifulde og pragmatiske løsninger. Passioneret foredragsholder.

Related topics Law Energi og forsyning